СтарийДобрий Атака
Гравці, які шукають популярні симулятори та ігри на основі фізики, можливо, несвідомо встановили прихований майнер криптовалюти у своїх системах Windows. Дослідники з кібербезпеки вперше ідентифікували цю масштабну операцію під кодовою назвою StaryDobry наприкінці грудня 2024 року. Повідомляється, що кампанія тривала близько місяця, скомпрометувавши численні машини по всьому світу.
Зміст
Високопродуктивні машини, що використовуються для майнінгу
Кампанія в основному була націлена як на окремих користувачів, так і на підприємства в багатьох регіонах, причому помітні показники зараження в Росії, Бразилії, Німеччині, Білорусі та Казахстані. Зосередившись на ігрових установках із потужним апаратним забезпеченням, зловмисники максимізували ефективність своїх операцій прихованого майнінгу.
Популярні ігри, які використовуються як приманки
Атака полягала в маскуванні загрозливих інсталяторів під законні копії відомих ігор. Серед назв, використаних як приманка, були BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox і Plutocracy. Зловмисники завантажили ці троянські інсталятори на торрент-сайти ще у вересні 2024 року, що свідчить про те, що операція була ретельно продуманою.
Інфіковані інсталятори запускають ланцюжок прихованих атак
Нічого не підозрюючим користувачам, які завантажили ці так звані «репаки», було запропоновано те, що схоже на стандартний процес встановлення. Під час інсталяції було розгорнуто та виконано у фоновому режимі прихований файл дроппера ('unrar.dll'), що розпочало наступний етап зараження.
Передові методи ухилення в дії
Перш ніж продовжити, дроппер виконав кілька перевірок, щоб переконатися, що він не працює у віртуалізованому або пісочному середовищі, демонструючи свої складні можливості ухилення. Потім він зв’язувався із зовнішніми службами, такими як api.myip.com, ip-api.com та ipwho.is, щоб зібрати IP-адреси та визначити місцезнаходження користувачів. Якщо цей крок не вдався, системі було призначено розташування за замовчуванням Китай або Білорусь із незрозумілих причин.
Складний багатоетапний процес виконання
Після того, як на машині було знято відбитки пальців, дроппер розшифрував і запустив інший компонент під назвою «MTX64.exe». Цей виконуваний файл зберіг свій вміст як «Windows.Graphics.ThumbnailHandler.dll» у системному каталозі. Базуючись на законному проекті з відкритим вихідним кодом, EpubShellExtThumbnailHandler, виконуваний файл неправильно використав функціональність Windows Shell Extension для завантаження наступного корисного навантаження «Kickstarter».
Компонент Kickstarter витягнув зашифрований блок даних і записав його на диск під назвою «Unix.Directory.IconHandler.dll» у приховану папку в каталозі AppData користувача. Цей новий файл потім отримав корисне навантаження останнього етапу з віддаленого сервера, який містив фактичний майнер криптовалюти.
Розгортання прихованого майнера та моніторинг процесів
За стратою шахтаря уважно стежили, щоб уникнути виявлення. Він постійно перевіряв наявність інструментів моніторингу системи, таких як Диспетчер завдань ('taskmgr.exe') і Монітор процесів ('procmon.exe'). Якщо будь-який із цих процесів був виявлений, майнер негайно припинявся, щоб уникнути перевірки.
XMRig налаштований для вибіркового майнінгу
В основі операції була налаштована версія майнера XMRig . Він активувався лише на процесорах із принаймні вісьмома ядрами, гарантуючи, що скомпрометовані машини мали достатню обчислювальну потужність для ефективного майнінгу. Крім того, замість того, щоб покладатися на загальнодоступний пул майнінгу, зловмисники встановили власний приватний сервер, щоб спрямовувати прибуток від майнінгу виключно на свою інфраструктуру.
XMRig використовував свої вбудовані функції для аналізу інструкцій командного рядка, водночас зберігаючи окремий потік для перевірки активних інструментів моніторингу. Цей постійний механізм самозахисту допомагав приховати майнінг від користувача.
Таємнича загроза з російськими підказками
Незважаючи на масштабність і складність операції, особи злочинців залишаються невідомими. Однак дослідники виявили російськомовні рядки, вбудовані в компоненти кампанії, що свідчить про те, що атака могла бути здійснена російськомовним учасником загрози.
Кампанія StaryDobry висвітлює ризики, пов’язані із завантаженням програмного забезпечення з неперевірених джерел. Використовуючи інсталятори ігор як приманку, кіберзлочинцям вдалося розгорнути прихований майнер, зберігаючи таємну присутність у скомпрометованих системах. Цей інцидент підкреслює важливість обережності під час придбання програмного забезпечення в Інтернеті, оскільки зловмисники продовжують удосконалювати свою обманну тактику.
